Sandbox-Loch in Tor Browser geschlossen
Es gibt ein wichtiges Sicherheitsupdate für den Tor Browser. Android-Nutzer müssen noch warten.
Wer den anonymisierenden Tor Browser nutzt, sollte sicherstellen, dass die aktuelle Version 8.5.3 installiert ist. Als Basis dient nun die abgesicherte Firefox-ESR Ausgabe 60.7.2.
Darin hat Mozilla eine Sicherheitslücke (CVE-2019-11708) geschlossen, über die Angreifer aus der Sandbox des Browsers ausbrechen könnten. Kombiniert ein Angreifer diese Lücke mit der im Tor Browser 8.5.2 geschlossenen Schwachstelle CVE-2019-11707 ist die Ausführung von Schadcode vorstellbar.
Workaround für Android-Nutzer
In einem Beitrag zur aktuellen Version des Tor Browsers teilen die Entwickler unter anderem mit, dass sie derzeit die aktuelle Android-Version des Webbrowsers nicht signieren und somit nicht zur Verfügung stellen können. Sie hoffen, dass sie das Problem zeitnah lösen könne.
Bis dahin empfehlen sie Android-Nutzern in den Sicherheitseinstellungen des Browsers das Level "Safe" oder "Safest" auszuwählen, da so für einen erfolgreichen Angriff nötiges JavaScript blockiert wird. (des)
